Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

VMware heeft meerdere kritieke remote code execution (RCE) kwetsbaarheden aangepakt die zich bevinden in VMware ESXi en vSphere Client virtual infrastructure management platform. Deze kwetsbaarheden kunnen het mogelijk maken dat aanvallers willekeurige code kunnen uitvoeren en de kwetsbare systemen overnemen.

“Een kwaadaardige actor met netwerktoegang tot poort 443 maakt mogelijk misbruik van deze kwetsbaarheid om commando’s uit te voeren met onbeperkte privileges op het onderliggende besturingssysteem dat de vCenter Server host,” geeft VMware aan in hun advisory.

CVE-2021-21972

De kwetsbaarheid, bijgehouden als CVE-2021-21972 heeft een CVSS score van 9.8/10, hiermee is deze als kritiek beoordeeld op basis van de ernstigheid.

“Naar onze mening heeft de RCE kwetsbaarheid in de vCenter Server geen minder dreiging als de bekende kwetsbaarheid in Citrix (CVE-2019-19781),” geeft Mikhail Klyuchnikov van Positive Technologies aan, die de kwetsbaarheid heeft ontdekt en gerapporteerd aan VMware.

“Deze fout staat toe dat een ongeautoriseerde gebruiker een speciaal gemaakt verzoek kan versturen, welke deze later de mogelijkheid geven om willekeurige code uit te voeren op de server.”

Met de netwerktoegang kan de aanvaller zich succesvol verplaatsen door het bedrijfsnetwerk en toegang krijgen tot de opgeslagen data in het kwetsbare systeem, zoals informatie over de virtuele machines en de systeem gebruikers, merkt Klyuchnikov op.

CVE-2021-21973

Een andere kwetsbaarheid CVE-2021-21973 met een CVSS score van 5.3/10, maakt het mogelijk voor ongeautoriseerde gebruiker om POST verzoeken te versturen, waardoor een kwaadwillende vervolg aanvallen kan uitvoeren, waaronder de mogelijkheid om het interne netwerk van het bedrijf te scannen en het ontvangen van specifieke informatie over de open poorten van verschillende services.

Het betreft hier een information disclosure kwetsbaarheid, welke volgens VMware komt door een SSRF (Server Side Request Forgery) kwetsbaarheid door het niet goed valideren van URL’s in de vCenter Server plug-in.

Andere kwetsbaarheden

Eerder deze maand verhielp VMWare een command injection kwetsbaarheid in vSphere Replication (CVE-2021-21976, met een CVSS score van 7.2/10). De kwetsbaarheid maakt het mogelijk voor een kwaadwillende om administrator rechten te krijgen om shell commando’s uit te voeren en RCE te bereiken.

Daarnaast heeft VMware ook een heap-overflow kwetsbaarheid opgelost (CVE-2021-21974 met een CVSS score 8.8/10) in ESXi’s service location protocol (SLP), welke het mogelijk maakt voor een aanvaller op hetzelfde netwerk om kwaadaardige SLP verzoeken te versturen naar een ESXi device en deze over te nemen.

OpenSLP levert een framework dat het mogelijk maakt voor netwerk applicaties om te ontdekken wat het bestaan, de locatie en configuratie is van services op het bedrijfsnetwerk.

Welke producten zijn kwetsbaar?

Voor de kwetsbaarheden CVE-2021-21972 & CVE-2021-21973 zijn de volgende producten en versies van deze producten kwetsbaar:

  • vCenter Server 7.0
  • vCenter Server 6.7
  • vCenter Server 6.5
  • Cloud Foundation (vCenter Server) 4.x
  • Cloud Foundation (vCenter Server) 3.x

Voor de kwetsbaarheid CVE-2021-21974 zijn de volgende producten en versie van deze producten kwetsbaar:

  • ESXi 7.0
  • ESXi 6.7
  • ESXi 6.5
  • Cloud Foundation (ESXi) 4.x
  • Cloud Foundation (ESXi) 3.x

Workaround beschikbaar?

Het vCenter team heeft de kwetsbaarheden CVE-2021-21972 & CVE-2021-21973  en bepaalt dat de mogelijkheid van misbruik maken van de kwetsbaarheden weggehaald kan worden door de stappen uit te voeren in de workaround sectie van hun artikel.

Wel is deze workaround een tijdelijke oplossing tot de updates doorgevoerd kunnen worden die worden beschreven in onderstaand hoofdstuk.

Het ESXi team heeft de kwetsbaarheid CVE-2021-21974 onderzocht en bepaald dat bepaalt dat de mogelijkheid van misbruik maken van de kwetsbaarheid weggehaald kan worden door de stappen uit te voeren in de workaround sectie van hun artikel.

Wel geven ze hierbij een waarschuwing dat deze workaround alleen werkt voor ESXi en dat deze niet moet uitgevoerd worden bij andere VMware producten.

Ook is dit een tijdelijke oplossing tot de updates doorgevoerd kunnen worden beschreven in onderstaand hoofdstuk.

Updates beschikbaar?

De volgende versies zijn beschikbaar per product in volgorde van weergeven in het hoofdstuk van de kwetsbare producten, waarin de kwetsbaarheden CVE-2021-21972 & CVE-2021-21973  zijn verholpen:

  • vCenter Server 7.0 U1c
  • vCenter Server 6.7 U3l
  • vCenter Server 6.5 U3n
  • Cloud Foundation (vCenter Server) 4.2
  • Cloud Foundation (vCenter Server) 3.10.1.2

De volgende versies zijn beschikbaar per product in volgorde van weergeven in het hoofdstuk van de kwetsbare producten, waarin de kwetsbaarheid CVE-2021-21974 is verholpen:

  • ESXi ESXi70U1c-17325551
  • ESXi ESXi670-202102401-SG
  • ESXi ESXi650-202102101-SG
  • Cloud Foundation (ESXi) 4.2
  • Cloud Foundation (ESXi) KB82705

Advies

Er wordt aan iedereen aangeraden die gebruik maakt van één of meerdere kwetsbare versies van de vCenter en ESXI producten om deze te updaten naar een nieuw kwetsbare versie.

Mocht dit niet mogelijk zijn dat zijn er workarounds voor deze kwetsbaarheden die als tijdelijke oplossing dienen tot de update(s) uitgevoerd kunnen worden.

Daarnaast wordt er geadviseerd om vCenter Server interfaces weg te halen van het perimeter van organisaties, wanneer ze zich hier bevinden en deze toe te wijzen aan een apart VLAN met een gelimiteerde toegangslijst in het interne netwerk.

Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers
4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft

Gerelateerde berichten

Microsoft

Microsoft Patch Tuesday mei 2021 patcht 55 kwetsbaarheden

21Nails kwetsbaarheden in veel gebruikte Exim-mailservers

FluBot

FluBot Android banking malware verspreid zich snel door Europa

Pulse Secure zero-day

Zero-day kwetsbaarheid in Pulse Secure actief misbruikt en patch nog niet beschikbaar

IcedID

IcedID trojaans paard wordt verspreid via contactformulieren van websites

VMware

Kritieke Cloud kwetsbaarheid in VMWare Carbon Black

Apple brengt urgente patch uit voor actief aangevallen zero-day kwetsbaarheid

f5 kwetsbaarheid

Kritieke F5 BIG-IP kwetsbaarheid na PoC actief aangevallen

Mirai

Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices

Een tikkende tijdbom

4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft

Microsoft

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

twee + 13 =

Menu